ONTAP SVMのNFSユーザーに許可されるグループIDの数を設定します
変更を提案
PDF
デフォルトでは、ONTAPはKerberos(RPCSEC_GSS)認証を使用してNFSユーザクレデンシャルを処理する際に、最大32個のグループIDをサポートします。AUTH_SYS認証を使用する場合、RFC 5531で定義されているように、グループIDのデフォルトの最大数は16です。デフォルト数を超えるグループに所属するユーザがいる場合は、最大数を1,024まで増やすことができます。
デフォルト数を超えるグループIDがクレデンシャルに設定されている場合、残りのグループIDは切り捨てられ、そのユーザがストレージ システムのファイルへのアクセスを試みるとエラーが発生する可能性があります。SVMあたりの最大グループ数は、環境内の最大グループ数と同じ数に設定する必要があります。
|
デフォルトの最大数である16を超えるグループIDを使用する拡張グループ(`-auth-sys-extended-groups`を有効にするためのAUTH_SYS認証の前提条件を理解するには、"NetAppナレッジベース:auth-sys-extended-groups を有効にするための前提条件は何ですか?"を参照してください |
次の表は、3つのサンプル構成でグループIDの最大数を決定する `vserver nfs modify`コマンドの2つのパラメータを示しています:
パラメータ |
設定 |
結果のグループIDの制限 |
|
これらはデフォルト設定です。 |
RPCSEC_GSS:32 AUTH_SYS:16 |
|
|
RPCSEC_GSS:256 AUTH_SYS:16 |
|
|
RPCSEC_GSS:512 AUTH_SYS:512 |
-
権限レベルをadvancedに設定します。
set -privilege advanced -
次のうち必要な操作を実行します。
許可される補助グループの最大数を設定する場合…
コマンドを入力してください…
RPCSEC_GSSのみ(AUTH_SYSはデフォルト値16のまま)
vserver nfs modify -vserver vserver_name -extended-groups-limit {32-1024} -auth-sys-extended-groups disabledRPCSEC_GSSとAUTH_SYSの両方
vserver nfs modify -vserver vserver_name -extended-groups-limit {32-1024} -auth-sys-extended-groups enabled -
-extended-groups-limit`値を確認し、AUTH_SYSが拡張グループを使用しているかどうかを確認します: `vserver nfs show -vserver vserver_name -fields auth-sys-extended-groups,extended-groups-limit -
admin権限レベルに戻ります。
set -privilege admin
次の例は、AUTH_SYS認証で拡張されたグループ数を有効にし、AUTH_SYS認証とRPCSEC_GSS認証の両方でグループの最大数を512に設定します。これらの変更は、vs1というSVMにアクセスするクライアントに対してのみ適用されます。
vs1::> set -privilege advanced
Warning: These advanced commands are potentially dangerous; use
them only when directed to do so by NetApp personnel.
Do you want to continue? {y|n}: y
vs1::*> vserver nfs modify -vserver vs1 -auth-sys-extended-groups enabled -extended-groups-limit 512
vs1::*> vserver nfs show -vserver vs1 -fields auth-sys-extended-groups,extended-groups-limit
vserver auth-sys-extended-groups extended-groups-limit
------- ------------------------ ---------------------
vs1 enabled 512
vs1::*> set -privilege admin